Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

ช่อง โหว่

ในวันที่ 14 พฤษภาคม 2019 Intel ได้เผยแพร่ข้อมูลเกี่ยวกับคลาสย่อยใหม่ของช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ที่เรียกว่าการสุ่มตัวอย่างข้อมูลสถาปัตยกรรมขนาดเล็ก ช่องโหว่เหล่านี้ได้รับการแก้ไขแล้วใน CVEs ต่อไปนี้:

สิ่งสำคัญ: ปัญหาเหล่านี้จะส่งผลต่อระบบปฏิบัติการอื่นๆ เช่น Android, Chrome, iOS และ MacOS เราขอแนะนําให้คุณขอคําแนะนําจากผู้ขายที่เกี่ยวข้องเหล่านี้

เราได้เผยแพร่การอัปเดตเพื่อช่วยลดช่องโหว่เหล่านี้ หากต้องการรับการป้องกันที่พร้อมใช้งานทั้งหมด จําเป็นต้องอัปเดตเฟิร์มแวร์ (microcode) และซอฟต์แวร์ ซึ่งอาจรวมถึง Microcode จาก OEM ของอุปกรณ์ ในบางกรณี การติดตั้งการอัปเดตเหล่านี้จะมีผลต่อประสิทธิภาพการทํางาน นอกจากนี้ เรายังได้ดําเนินการเพื่อรักษาความปลอดภัยของบริการระบบคลาวด์ของเราอีกด้วย เราขอแนะนําให้ปรับใช้การอัปเดตเหล่านี้

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหานี้ ดูคําแนะนําด้านความปลอดภัยต่อไปนี้และใช้คําแนะนําตามสถานการณ์สมมติเพื่อระบุการดําเนินการที่จําเป็นเพื่อลดภัยคุกคาม:

หมายเหตุ: เราขอแนะนําให้คุณติดตั้งการอัปเดตล่าสุดทั้งหมดจาก Windows Update ก่อนที่คุณจะติดตั้งการอัปเดต Microcode ใดๆ

ในวันที่ 6 สิงหาคม 2019 Intel ได้เผยแพร่รายละเอียดเกี่ยวกับช่องโหว่การเปิดเผยข้อมูลเคอร์เนลของ Windows ช่องโหว่นี้เป็นตัวแปรของช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ Spectre ตัวแปรที่ 1 และได้รับการกําหนด CVE-2019-1125

เมื่อวันที่ 9 กรกฎาคม 2019 เราได้เผยแพร่การอัปเดตความปลอดภัยสําหรับระบบปฏิบัติการ Windows เพื่อช่วยบรรเทาปัญหานี้ โปรดทราบว่าเราได้จัดเอกสารฉบับนี้ต่อสาธารณชนจนกว่าการเปิดเผยอุตสาหกรรมประสานงานในวันอังคารที่ 6 สิงหาคม 2019

ลูกค้าที่เปิดใช้งาน Windows Update และใช้การอัปเดตความปลอดภัยที่เผยแพร่ในวันที่ 9 กรกฎาคม 2019 จะได้รับการป้องกันโดยอัตโนมัติ ไม่มีการกําหนดค่าเพิ่มเติมที่จําเป็น

หมายเหตุ: ช่องโหว่นี้ไม่จําเป็นต้องมีการอัปเดต Microcode จากผู้ผลิตอุปกรณ์ของคุณ (OEM)

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้และการอัปเดตที่เกี่ยวข้อง โปรดดู คู่มือการอัปเดตความปลอดภัย Microsoft:

ในวันที่ 12 พฤศจิกายน 2019 Intel ได้เผยแพร่คําแนะนําทางเทคนิคเกี่ยวกับช่องโหว่ Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort ที่กําหนด CVE-2019-11135 เราได้เผยแพร่การอัปเดตเพื่อช่วยลดช่องโหว่นี้ ตามค่าเริ่มต้น การป้องกันระบบปฏิบัติการจะเปิดใช้งานสําหรับ Windows Client รุ่น OS

เมื่อวันที่ 14 มิถุนายน 2022 เราได้เผยแพร่ ADV220002 คําแนะนําของ Microsoft เกี่ยวกับช่องโหว่ของข้อมูล MMIO ที่ล็อตตัวประมวลผล Intel ช่องโหว่ได้รับการกําหนดใน CVEs ต่อไปนี้:

การดำเนินการที่แนะนำ

คุณควรดําเนินการต่อไปนี้เพื่อป้องกันช่องโหว่เหล่านี้:

  1. ใช้การอัปเดตระบบปฏิบัติการ Windows ที่พร้อมใช้งานทั้งหมด รวมถึงการอัปเดตความปลอดภัยของ Windows รายเดือน

  2. ใช้การอัปเดตเฟิร์มแวร์ (microcode) ที่เกี่ยวข้องที่ได้รับจากผู้ผลิตอุปกรณ์

  3. ประเมินความเสี่ยงต่อสภาพแวดล้อมของคุณตามข้อมูลที่ระบุในคําแนะนําด้านความปลอดภัยของ Microsoft ADV180002ADV180012ADV190013 และ ADV220002นอกเหนือจากข้อมูลที่ระบุไว้ในบทความนี้

  4. ดําเนินการตามที่จําเป็นโดยใช้คําแนะนําและข้อมูลรีจิสทรีคีย์ที่มีอยู่ในบทความนี้

หมายเหตุ: ลูกค้า Surface จะได้รับการอัปเดต Microcode ผ่านทาง Windows Update สําหรับรายการการอัปเดตเฟิร์มแวร์อุปกรณ์ Surface (microcode) ล่าสุดที่พร้อมใช้งาน โปรดดูที่ KB4073065

เมื่อวันที่ 12 กรกฎาคม 2022 เราได้เผยแพร่ CVE-2022-23825 | AMD CPU Branch Type Confusion ซึ่งอธิบายว่านามแฝงในตัวคาดเดาสาขาอาจทําให้ตัวประมวลผล AMD บางตัวคาดการณ์ชนิดของสาขาที่ไม่ถูกต้อง ปัญหานี้อาจนําไปสู่การเปิดเผยข้อมูล

เพื่อช่วยป้องกันช่องโหว่นี้ เราขอแนะนําให้ติดตั้งการอัปเดต Windows ที่ลงวันที่หรือหลังจากเดือนกรกฎาคม 2022 แล้วดําเนินการตามที่จําเป็นโดย CVE-2022-23825 และข้อมูลรีจิสทรีคีย์ที่มีอยู่ในบทความฐานความรู้นี้

สําหรับข้อมูลเพิ่มเติม โปรดดูประกาศด้านความปลอดภัยของ AMD-SB-1037

เมื่อวันที่ 8 สิงหาคม 2023 เราได้เผยแพร่ CVE-2023-20569 | AMD CPU Return Address Predictor (หรือที่เรียกว่า Inception) ซึ่งอธิบายการโจมตีช่องทางด้านข้างแบบคาดการณ์ใหม่ที่สามารถส่งผลให้เกิดการดําเนินการแบบคาดการณ์ได้ที่ที่อยู่ที่ควบคุมโดยผู้โจมตี ปัญหานี้มีผลต่อตัวประมวลผล AMD บางตัว และอาจนําไปสู่การเปิดเผยข้อมูล

เพื่อช่วยป้องกันช่องโหว่นี้ เราขอแนะนําให้ติดตั้งการอัปเดต Windows ที่ลงวันที่หรือหลังจากเดือนสิงหาคม 2023 แล้วดําเนินการตามที่จําเป็นโดย CVE-2023-20569 และข้อมูลรีจิสทรีคีย์ที่มีอยู่ในบทความฐานความรู้นี้

สําหรับข้อมูลเพิ่มเติม โปรดดูประกาศด้านความปลอดภัยของ AMD-SB-7005

เมื่อวันที่ 9 เมษายน 2024 เราได้เผยแพร่ CVE-2022-0001 | การฉีดประวัติสาขาของ Intel ซึ่งอธิบายการฉีดประวัติสาขา (BHI) ซึ่งเป็นรูปแบบเฉพาะของ BTI ภายในโหมด ช่องโหว่นี้เกิดขึ้นเมื่อผู้โจมตีอาจจัดการประวัติสาขาก่อนที่จะเปลี่ยนจากผู้ใช้เป็นโหมดผู้ดูแล (หรือจากโหมดที่ไม่ใช่ราก/ผู้เยี่ยมชม VMX ไปเป็นโหมดราก) การจัดการนี้อาจทําให้ตัวทํานายสาขาทางอ้อมเลือกรายการตัวทํานายเฉพาะสําหรับสาขาทางอ้อม และโปรแกรมเบ็ดเตล็ดการเปิดเผยที่เป้าหมายที่ทํานายจะดําเนินการแบบชั่วคราว ซึ่งอาจเป็นไปได้เนื่องจากประวัติสาขาที่เกี่ยวข้องอาจมีสาขาที่นํามาในบริบทความปลอดภัยก่อนหน้านี้ และโดยเฉพาะอย่างยิ่ง โหมดตัวคาดเดาอื่นๆ

การตั้งค่าการลดปัญหาสําหรับไคลเอ็นต์ Windows

คําแนะนําด้านความปลอดภัย (ADVs) และ CVEs จะให้ข้อมูลเกี่ยวกับความเสี่ยงที่เกิดจากช่องโหว่เหล่านี้ และวิธีที่ช่องโหว่เหล่านี้ช่วยคุณระบุสถานะการแก้ไขเริ่มต้นสําหรับระบบไคลเอ็นต์ Windows ตารางต่อไปนี้สรุปความต้องการของ Microcode ของ CPU และสถานะเริ่มต้นของการลดปัญหาในไคลเอ็นต์ Windows

CVE

จําเป็นต้องมี MICROCODE/เฟิร์มแวร์ CPU หรือไม่

สถานะค่าเริ่มต้นของการลดปัญหา

CVE-2017-5753

ไม่ใช่

เปิดใช้งานตามค่าเริ่มต้น (ไม่มีตัวเลือกสําหรับปิดใช้งาน)

โปรดดูข้อมูลเพิ่มเติมจาก ADV180002

CVE-2017-5715

ใช่

เปิดใช้งานตามค่าเริ่มต้น ผู้ใช้ที่ใช้ตัวประมวลผล AMD ควรเห็น คําถามที่ถามบ่อย #15 และผู้ใช้ตัวประมวลผล ARM ควรดู คําถามที่ถามบ่อย #20 เกี่ยวกับ ADV180002 สําหรับการดําเนินการเพิ่มเติมและบทความ KB นี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง

หมายเหตุ ตามค่าเริ่มต้น Retpoline จะเปิดใช้งานสําหรับอุปกรณ์ที่ใช้ Windows 10 เวอร์ชัน 1809 หรือใหม่กว่า ถ้าเปิดใช้งาน Spectre ตัวแปรที่ 2 (CVE-2017-5715) สําหรับข้อมูลเพิ่มเติม เกี่ยวกับ Retpoline ทําตามคําแนะนําใน การลด Spectre ตัวแปรที่ 2 ด้วย Retpoline ในบล็อกโพสต์ของ Windows

CVE-2017-5754

ไม่ใช่

เปิดใช้งานตามค่าเริ่มต้น

โปรดดูข้อมูลเพิ่มเติมจาก ADV180002

CVE-2018-3639

Intel: ใช่ AMD: ไม่ใช่ ARM: ใช่

Intel และ AMD: ปิดใช้งานตามค่าเริ่มต้น ดู ADV180012 สําหรับข้อมูลเพิ่มเติมและบทความ KB นี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง

ARM: เปิดใช้งานตามค่าเริ่มต้นโดยไม่มีตัวเลือกในการปิดใช้งาน

CVE-2019-11091

Intel: ใช่

เปิดใช้งานตามค่าเริ่มต้น

ดู ADV190013 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้

CVE-2018-12126

Intel: ใช่

เปิดใช้งานตามค่าเริ่มต้น

ดู ADV190013 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้

CVE-2018-12127

Intel: ใช่

เปิดใช้งานตามค่าเริ่มต้น

ดู ADV190013 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้

CVE-2018-12130

Intel: ใช่

เปิดใช้งานตามค่าเริ่มต้น

ดู ADV190013 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้

CVE-2019-11135

Intel: ใช่

เปิดใช้งานตามค่าเริ่มต้น

ดู CVE-2019-11135 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง

CVE-2022-21123 (ส่วนของ MMIO ADV220002)

Intel: ใช่

Windows 10 เวอร์ชัน 1809 และใหม่กว่า: เปิดใช้งานตามค่าเริ่มต้น  Windows 10 เวอร์ชัน 1607 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น 

ดู CVE-2022-21123 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง

CVE-2022-21125 (ส่วนของ MMIO ADV220002)

Intel: ใช่

Windows 10 เวอร์ชัน 1809 และใหม่กว่า: เปิดใช้งานตามค่าเริ่มต้น  Windows 10 เวอร์ชัน 1607 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น 

ดู CVE-2022-21125 สําหรับข้อมูลเพิ่มเติม

CVE-2022-21127 (ส่วนของ MMIO ADV220002)

Intel: ใช่

Windows 10 เวอร์ชัน 1809 และใหม่กว่า: เปิดใช้งานตามค่าเริ่มต้น  Windows 10 เวอร์ชัน 1607 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น 

ดู CVE-2022-21127 สําหรับข้อมูลเพิ่มเติม

CVE-2022-21166 (ส่วนของ MMIO ADV220002)

Intel: ใช่

Windows 10 เวอร์ชัน 1809 และใหม่กว่า: เปิดใช้งานตามค่าเริ่มต้น  Windows 10 เวอร์ชัน 1607 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น 

ดู CVE-2022-21166 สําหรับข้อมูลเพิ่มเติม

CVE-2022-23825 (AMD CPU Branch Type Confusion)

AMD: ไม่ใช่

ดู CVE-2022-23825 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง

CVE-2023-20569 (AMD CPU Return Address Predictor)

AMD: ใช่

ดู CVE-2023-20569 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง

CVE-2022-0001

Intel: No

ปิดใช้งานตามค่าเริ่มต้น

ดู CVE-2022-0001 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้

หมายเหตุ: ตามค่าเริ่มต้น การเปิดใช้งานการลดปัญหาที่ปิดอยู่อาจส่งผลต่อประสิทธิภาพของอุปกรณ์ ผลกระทบด้านประสิทธิภาพจริงขึ้นอยู่กับหลายปัจจัย เช่น ชิปเซ็ตเฉพาะในอุปกรณ์และปริมาณงานที่กําลังทํางานอยู่

การตั้งค่ารีจิสทรี

เรามีข้อมูลรีจิสทรีต่อไปนี้เพื่อเปิดใช้งานการแก้ไขที่ไม่ได้เปิดใช้งานตามค่าเริ่มต้น ตามที่ระบุไว้ในคําแนะนําด้านความปลอดภัย (ADVs) และ CVEs นอกจากนี้ เรายังมีการตั้งค่ารีจิสทรีคีย์สําหรับผู้ใช้ที่ต้องการปิดใช้งานการแก้ไขเมื่อสามารถใช้ได้กับไคลเอ็นต์ Windows

สิ่งสำคัญ: ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบถึงวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นตรวจสอบให้แน่ใจว่าคุณทําตามขั้นตอนเหล่านี้อย่างระมัดระวัง สําหรับการป้องกันเพิ่มเติม ให้สํารองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสํารองและคืนค่ารีจิสทรี โปรดดูบทความต่อไปนี้ใน Microsoft Knowledge Base:322756 วิธีการสํารองข้อมูลและคืนค่ารีจิสทรีใน Windows

สิ่งสำคัญ: ตามค่าเริ่มต้น Retpoline จะเปิดใช้งานบนอุปกรณ์ Windows 10 เวอร์ชัน 1809 ถ้าเปิดใช้งาน Spectre, Variant 2 (CVE-2017-5715) การเปิดใช้งาน Retpoline บน Windows 10 เวอร์ชันล่าสุดอาจเพิ่มประสิทธิภาพบนอุปกรณ์ที่ใช้ Windows 10 เวอร์ชัน 1809 สําหรับ Spectre ตัวแปรที่ 2 โดยเฉพาะอย่างยิ่งบนตัวประมวลผลรุ่นเก่า

เมื่อต้องการเปิดใช้งานการบรรเทาเริ่มต้นสําหรับ CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

เมื่อต้องการปิดใช้งานการลดปัญหาสําหรับ CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

หมายเหตุ: ค่า 3 ถูกต้องสําหรับ FeatureSettingsOverrideMask สําหรับการตั้งค่า "enable" และ "disable" (ดูส่วน "คําถามที่ถามบ่อย" เพื่อดูรายละเอียดเพิ่มเติมเกี่ยวกับรีจิสทรีคีย์)

เมื่อต้องการปิดใช้งาน การลดปัญหาสําหรับ CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

เมื่อต้องการเปิดใช้งาน การบรรเทาเริ่มต้นสําหรับ CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

ตามค่าเริ่มต้น การป้องกันผู้ใช้ถึงเคอร์เนลสําหรับ CVE-2017-5715 จะถูกปิดใช้งานสําหรับ AMD และ CPU ARM คุณต้องเปิดใช้งานการบรรเทาเพื่อรับการป้องกันเพิ่มเติมสําหรับ CVE-2017-5715 ดูข้อมูลเพิ่มเติมได้ที่ คําถามที่ถามบ่อย #15 ใน ADV180002 สําหรับตัวประมวลผล AMD และ คําถามที่ถามบ่อย #20 ใน ADV180002 สําหรับตัวประมวลผล ARM

เปิดใช้งานการป้องกันผู้ใช้ไปยังเคอร์เนลในตัวประมวลผล AMD และ ARM ร่วมกับการป้องกันอื่นๆ สําหรับ CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

เมื่อต้องการเปิดใช้งานการบรรเทาสําหรับ CVE-2018-3639 (Speculative Store Bypass) การลดปัญหาเริ่มต้นสําหรับ CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

หมายเหตุ: ตัวประมวลผล AMD ไม่เสี่ยงต่อ CVE-2017-5754 (Meltdown) รีจิสทรีคีย์นี้ใช้ในระบบที่มีตัวประมวลผล AMD เพื่อเปิดใช้งานการแก้ไขเริ่มต้นสําหรับ CVE-2017-5715 ในตัวประมวลผล AMD และการลดปัญหาสําหรับ CVE-2018-3639

หากต้องการปิดใช้งานการลดปัญหาสําหรับ CVE-2018-3639 (Speculative Store Bypass) *และ* การลดสําหรับ CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

ตามค่าเริ่มต้น การป้องกันผู้ใช้ถึงเคอร์เนลสําหรับ CVE-2017-5715 จะถูกปิดใช้งานสําหรับตัวประมวลผล AMD ลูกค้าต้องเปิดใช้งานการบรรเทาเพื่อรับการป้องกันเพิ่มเติมสําหรับ CVE-2017-5715  ดูข้อมูลเพิ่มเติมได้ที่ คําถามที่ถามบ่อย #15 ใน ADV180002

เปิดใช้งานการป้องกันผู้ใช้ไปยังเคอร์เนลในตัวประมวลผล AMD ร่วมกับการป้องกันอื่นๆ สําหรับ CVE 2017-5715 และการป้องกันสําหรับ CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

เมื่อต้องการเปิดใช้งานการลดช่องโหว่ Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) และการสุ่มตัวอย่างข้อมูลสถาปัตยกรรมขนาดเล็ก ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) พร้อมด้วย Spectre (CVE-2017-5753 & CVE-2017-5715) และ Meltdown (CVE-2017-5754) รวมถึง Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) ตลอดจน L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 และ CVE-2018-3646) โดยไม่ต้องปิดใช้งานไฮเปอร์เธรดดิ้ง:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

หากมีการติดตั้งคุณลักษณะ Hyper-V ให้เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

หากนี่คือโฮสต์ Hyper-V และมีการนําการอัปเดตเฟิร์มแวร์ไปใช้: ปิดเครื่องเสมือนทั้งหมด ซึ่งจะทําให้สามารถนําการแก้ไขที่เกี่ยวข้องกับเฟิร์มแวร์ไปใช้กับโฮสต์ก่อนเริ่ม VM ดังนั้น VM จะได้รับการอัปเดตเมื่อรีสตาร์ต

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) เมื่อปิดใช้งาน Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

หากมีการติดตั้งคุณลักษณะ Hyper-V ให้เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

หากนี่คือโฮสต์ Hyper-V และมีการนําการอัปเดตเฟิร์มแวร์ไปใช้: ปิดเครื่องเสมือนทั้งหมด ซึ่งจะทําให้สามารถนําการแก้ไขที่เกี่ยวข้องกับเฟิร์มแวร์ไปใช้กับโฮสต์ก่อนเริ่ม VM ดังนั้น VM จะได้รับการอัปเดตเมื่อรีสตาร์ต

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

เมื่อต้องการเปิดใช้งานการลดปัญหาสําหรับ CVE-2022-23825 บนตัวประมวลผล AMD :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

เพื่อให้ได้รับการปกป้องอย่างเต็มรูปแบบ ลูกค้าอาจจําเป็นต้องปิดใช้งาน Hyper-Threading (หรือที่เรียกว่า Simultaneous Multi Threading (SMT)) โปรดดู KB4073757สําหรับคําแนะนําเกี่ยวกับการปกป้องอุปกรณ์ Windows 

เมื่อต้องการเปิดใช้งานการลดปัญหาสําหรับ CVE-2023-20569 บนตัวประมวลผล AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

เมื่อต้องการเปิดใช้งานการลดสําหรับ CVE-2022-0001 บนตัวประมวลผล Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

การเปิดใช้งานการบรรเทาหลายรายการ

เมื่อต้องการเปิดใช้งานการบรรเทาหลายรายการ คุณต้องเพิ่มค่า REG_DWORD ของการบรรเทาแต่ละรายการพร้อมกัน 

ตัวอย่างเช่น:

การลดช่องโหว่ Transaction Asynchronous Abort, การสุ่มตัวอย่างข้อมูล Microarchitectural, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) และ L1 Terminal Fault (L1TF) ที่ปิดใช้งาน Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

NOTE 8264 (เป็นทศนิยม) = 0x2048 (ในฐานสิบหก)

เมื่อต้องการเปิดใช้งาน BHI พร้อมกับการตั้งค่าอื่นๆ ที่มีอยู่ คุณจะต้องใช้ BITWISE OR ของค่าปัจจุบันกับ 8,388,608 (0x800000) 

0x800000 OR 0x2048(8264 เป็นทศนิยม) และจะกลายเป็น 8,396,872 (0x802048) เหมือนกับ FeatureSettingsOverrideMask

การลดปัญหาสําหรับ CVE-2022-0001 บนตัวประมวลผล Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

การบรรเทารวม

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

การลดช่องโหว่ Transaction Asynchronous Abort, การสุ่มตัวอย่างข้อมูล Microarchitectural, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) และ L1 Terminal Fault (L1TF) ที่ปิดใช้งาน Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

การลดปัญหาสําหรับ CVE-2022-0001 บนตัวประมวลผล Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

การบรรเทารวม

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

ตรวจสอบว่ามีการเปิดใช้งานการป้องกันแล้ว

เพื่อช่วยตรวจสอบว่ามีการเปิดใช้งานการป้องกัน เราได้เผยแพร่สคริปต์ PowerShell ที่คุณสามารถเรียกใช้บนอุปกรณ์ของคุณได้ ติดตั้งและเรียกใช้สคริปต์โดยใช้วิธีใดวิธีหนึ่งต่อไปนี้

ติดตั้งโมดูล PowerShell:

PS> Install-Module SpeculationControl

เรียกใช้โมดูล PowerShell เพื่อตรวจสอบว่ามีการเปิดใช้งานการป้องกัน:

PS> # บันทึกนโยบายการดําเนินการปัจจุบันเพื่อให้สามารถรีเซ็ตได้

> $SaveExecutionPolicy PS = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

> Get-SpeculationControlSettings PS

PS> # รีเซ็ตนโยบายการดําเนินการเป็นสถานะเดิม

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

ติดตั้งโมดูล PowerShell จาก Technet ScriptCenter:

ไปที่ https://aka.ms/SpeculationControlPS

ดาวน์โหลด SpeculationControl.zip ลงในโฟลเดอร์ภายในเครื่อง

แยกเนื้อหาไปยังโฟลเดอร์ภายในเครื่อง ตัวอย่างเช่น C:\ADV180002

เรียกใช้โมดูล PowerShell เพื่อตรวจสอบว่ามีการเปิดใช้งานการป้องกัน:

เริ่ม PowerShell จากนั้น (โดยใช้ตัวอย่างก่อนหน้า) คัดลอกและเรียกใช้คําสั่งต่อไปนี้:

PS> # บันทึกนโยบายการดําเนินการปัจจุบันเพื่อให้สามารถรีเซ็ตได้

> $SaveExecutionPolicy PS = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

> Get-SpeculationControlSettings PS

PS> # รีเซ็ตนโยบายการดําเนินการเป็นสถานะเดิม

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

สําหรับคําอธิบายโดยละเอียดของผลลัพธ์ของสคริปต์ PowerShell โปรดดูที่ KB4074629

คำถามที่ถามบ่อย

Microcode ส่งผ่านการอัปเดตเฟิร์มแวร์ คุณควรตรวจสอบกับ CPU (ชิปเซ็ต) และผู้ผลิตอุปกรณ์เกี่ยวกับความพร้อมใช้งานของการอัปเดตความปลอดภัยของเฟิร์มแวร์ที่เกี่ยวข้องสําหรับอุปกรณ์เฉพาะ รวมถึง คําแนะนําการแก้ไขรหัส Microcode ของ Intels

การจัดการช่องโหว่ของฮาร์ดแวร์ผ่านการอัปเดตซอฟต์แวร์มีความท้าทายอย่างมาก นอกจากนี้ การบรรเทาระบบปฏิบัติการรุ่นเก่ายังต้องการการเปลี่ยนแปลงทางสถาปัตยกรรมอย่างกว้างขวาง เรากําลังทํางานร่วมกับผู้ผลิตชิปที่ได้รับผลกระทบเพื่อระบุวิธีที่ดีที่สุดในการบรรเทา ซึ่งอาจส่งในการอัปเดตในอนาคต

Updates สําหรับอุปกรณ์ Microsoft Surface จะถูกส่งให้กับลูกค้าผ่านทาง Windows Update พร้อมกับการอัปเดตสําหรับระบบปฏิบัติการ Windows สําหรับรายการการอัปเดตเฟิร์มแวร์อุปกรณ์ Surface (microcode) ที่พร้อมใช้งาน โปรดดูที่ KB4073065

หากอุปกรณ์ของคุณไม่ได้มาจาก Microsoft โปรดใช้เฟิร์มแวร์จากผู้ผลิตอุปกรณ์ สําหรับข้อมูลเพิ่มเติม โปรดติดต่อผู้ผลิตอุปกรณ์ OEM

ในเดือนกุมภาพันธ์และมีนาคม 2018 Microsoft ได้เผยแพร่การป้องกันเพิ่มเติมสําหรับระบบที่ทํางานบน x86 บางระบบ สําหรับข้อมูลเพิ่มเติม โปรดดู KB4073757 และ ADV180002 คําแนะนําด้านความปลอดภัยของ Microsoft

Updates สําหรับ Windows 10 สําหรับ HoloLens พร้อมให้บริการสําหรับลูกค้า HoloLens ผ่านทาง Windows Update

หลังจากใช้การอัปเดตความปลอดภัยของ Windows ประจําเดือนกุมภาพันธ์ 2018 ลูกค้า HoloLens ไม่จําเป็นต้องดําเนินการเพิ่มเติมเพื่ออัปเดตเฟิร์มแวร์อุปกรณ์ การลดปัญหาเหล่านี้จะรวมอยู่ในการเผยแพร่ Windows 10 สําหรับ HoloLens ในอนาคตทั้งหมด

ไม่ได้ การอัปเดตเฉพาะด้านความปลอดภัยไม่ใช่การอัปเดตแบบสะสม ทั้งนี้ขึ้นอยู่กับรุ่นของระบบปฏิบัติการที่คุณกําลังใช้งาน คุณจะต้องติดตั้งการอัปเดตความปลอดภัยเท่านั้นทุกเดือนเพื่อป้องกันช่องโหว่เหล่านี้ ตัวอย่างเช่น หากคุณกําลังใช้งาน Windows 7 สําหรับระบบ 32 บิตบน CPU ของ Intel ที่ได้รับผลกระทบ คุณต้องติดตั้งการอัปเดตความปลอดภัยเท่านั้นทั้งหมด เราขอแนะนําให้ติดตั้งการอัปเดตความปลอดภัยเท่านั้นเหล่านี้ตามลําดับการเผยแพร่

หมายเหตุ คําถามที่ถามบ่อยเวอร์ชันก่อนหน้าระบุอย่างไม่ถูกต้องว่าการอัปเดตเฉพาะด้านความปลอดภัยเดือนกุมภาพันธ์มีการแก้ไขข้อบกพร่องด้านความปลอดภัยที่เผยแพร่ในเดือนมกราคม ในความเป็นจริงมันไม่ได้

ไม่ได้ 4078130 การอัปเดตความปลอดภัยเป็นการแก้ไขเฉพาะเพื่อป้องกันลักษณะการทํางานของระบบที่คาดเดาไม่ได้ ปัญหาด้านประสิทธิภาพ การทํางาน และ/หรือการเริ่มต้นระบบใหม่ที่ไม่คาดคิดหลังจากการติดตั้ง Microcode การใช้การอัปเดตความปลอดภัยประจําเดือนกุมภาพันธ์บนระบบปฏิบัติการไคลเอ็นต์ Windows ช่วยให้สามารถบรรเทาปัญหาทั้งสามอย่างได้

เมื่อเร็วๆ นี้ Intel ได้ประกาศว่าพวกเขาได้ทําการตรวจสอบและเริ่มเผยแพร่ Microcode สําหรับแพลตฟอร์ม CPU ที่ใหม่กว่า Microsoft กําลังทําการอัปเดต Microcode ที่ได้รับการตรวจสอบของ Intel เกี่ยวกับ Spectre ตัวแปรที่ 2 (CVE-2017-5715 "การใส่โค้ดโดยกําหนดสาขา") KB4093836 แสดงรายการบทความใน Knowledge Base เฉพาะตามรุ่นของ Windows แต่ละ KB ประกอบด้วยการอัปเดต Microcode ของ Intel ที่พร้อมใช้งานตาม CPU

ปัญหานี้แก้ไขได้ใน KB4093118

เมื่อเร็วๆ นี้ AMD ได้ประกาศว่าพวกเขาได้เริ่มเผยแพร่ Microcode สําหรับแพลตฟอร์ม CPU ที่ใหม่กว่ารอบ Spectre ตัวแปรที่ 2 (CVE-2017-5715 "การป้อนโค้ดโดยกําหนดสาขา") สําหรับข้อมูลเพิ่มเติม โปรดดู Updates ความปลอดภัยของ AMD และเอกสารขาวของ AMD: คําแนะนําด้านสถาปัตยกรรมเกี่ยวกับ Indirect Branch Control ตัวเลือกเหล่านี้จะพร้อมใช้งานจากช่องสัญญาณเฟิร์มแวร์ OEM

เรากําลังทําการอัปเดต Microcode ที่ได้รับการตรวจสอบของ Intel เกี่ยวกับ Spectre Variant 2 (CVE-2017-5715 "การใส่โค้ดโดยกําหนดสาขา ") เมื่อต้องการรับการอัปเดต Microcode ของ Intel ผ่าน Windows Update ลูกค้าต้องติดตั้ง Microcode ของ Intel บนอุปกรณ์ที่ใช้ระบบปฏิบัติการ Windows 10 ก่อนที่จะอัปเกรดเป็นการปรับปรุง Windows 10 เดือนเมษายน 2561 (เวอร์ชัน 1803)

การอัปเดต Microcode มีให้ใช้งานโดยตรงจากแค็ตตาล็อกหากไม่ได้ติดตั้งการอัปเดตบนอุปกรณ์ก่อนที่จะอัปเกรดระบบปฏิบัติการ Microcode ของ Intel พร้อมใช้งานผ่าน Windows Update, WSUS หรือ Microsoft Update Catalog สําหรับข้อมูลเพิ่มเติมและคําแนะนําในการดาวน์โหลด โปรดดูที่ KB4100347

สําหรับรายละเอียด โปรดดูส่วน "การดําเนินการที่แนะนํา" และ "คําถามที่ถามบ่อย" ใน ADV180012 | คําแนะนําของ Microsoft สําหรับการเลี่ยงผ่าน Store แบบคาดการณ์

เพื่อตรวจสอบสถานะของ SSBD สคริปต์ Get-SpeculationControlSettings PowerShell ได้รับการอัปเดตเพื่อตรวจหาตัวประมวลผลที่ได้รับผลกระทบ สถานะของการอัปเดตระบบปฏิบัติการ SSBD และสถานะของ Microcode ตัวประมวลผล ถ้ามี สําหรับข้อมูลเพิ่มเติมและรับสคริปต์ PowerShell โปรดดูที่ KB4074629

ในวันที่ 13 มิถุนายน 2018 ช่องโหว่เพิ่มเติมที่เกี่ยวข้องกับการดําเนินการแบบคาดการณ์ของช่องทางด้านข้าง หรือที่เรียกว่าการคืนค่าสถานะ FP Lazy FP ได้รับการประกาศและกําหนด CVE-2018-3665 ไม่จําเป็นต้องตั้งค่าการกําหนดค่า (รีจิสทรี) สําหรับการคืนค่า FP แบบ Lazy

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้และสําหรับการดําเนินการที่แนะนํา โปรดดูคําแนะนําด้านความปลอดภัย ADV180016 | คําแนะนําของ Microsoft สําหรับการคืนค่าสถานะ Lazy FP

หมายเหตุ: ไม่จําเป็นต้องตั้งค่าการกําหนดค่า (รีจิสทรี) สําหรับการคืนค่า FP แบบ Lazy

Bounds Check Bypass Store (BCBS) ถูกเปิดเผยเมื่อวันที่ 10 กรกฎาคม 2018 และได้รับมอบหมาย CVE-2018-3693 เราพิจารณาว่า BCBS อยู่ในระดับช่องโหว่เดียวกันกับช่องโหว่ขอบเขต ตรวจสอบบายพาส (ตัวแปรที่ 1) ขณะนี้เรายังไม่ทราบถึงอินสแตนซ์ของ BCBS ในซอฟต์แวร์ของเรา แต่เรากําลังดําเนินการค้นคว้าเกี่ยวกับระดับช่องโหว่นี้และจะทํางานร่วมกับคู่ค้าในอุตสาหกรรมเพื่อเผยแพร่การแก้ไขตามที่จําเป็น เรายังคงสนับสนุนให้นักวิจัยส่งผลการค้นหาที่เกี่ยวข้องไปยัง โปรแกรม Speculative Execution Side Channel ของ Microsoft รวมถึงอินสแตนซ์ที่ใช้ประโยชน์ได้ของ BCBS นักพัฒนาซอฟต์แวร์ควรตรวจสอบคําแนะนําสําหรับนักพัฒนาที่ได้รับการอัปเดตสําหรับ BCBS เมื่อ https://aka.ms/sescdevguide

ในวันที่ 14 สิงหาคม 2018 มีการประกาศและกําหนด L1 Terminal Fault (L1TF) หลายรายการ ช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ใหม่เหล่านี้สามารถใช้เพื่ออ่านเนื้อหาของหน่วยความจําทั่วทั้งขอบเขตที่เชื่อถือได้ และหากถูกนําไปใช้ประโยชน์ อาจนําไปสู่การเปิดเผยข้อมูลได้ ผู้โจมตีอาจทริกเกอร์ช่องโหว่ผ่านเวกเตอร์หลายเวกเตอร์ ขึ้นอยู่กับสภาพแวดล้อมที่กําหนดค่าไว้ L1TF มีผลต่อตัวประมวลผล Intel® Core® และตัวประมวลผล Intel® Xeon®

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้และมุมมองโดยละเอียดของสถานการณ์ที่ได้รับผลกระทบ รวมถึงแนวทางของ Microsoft ในการลด L1TF ให้ดูแหล่งข้อมูลต่อไปนี้:

ลูกค้าที่ใช้ตัวประมวลผล ARM รุ่น 64 บิตควรตรวจสอบกับอุปกรณ์ OEM เพื่อรับการสนับสนุนเฟิร์มแวร์ เนื่องจากการป้องกันระบบปฏิบัติการ ARM64 ที่ลด CVE-2017-5715 | การใส่เป้าหมายสาขา (Spectre, Variant 2) ต้องการการอัปเดตเฟิร์มแวร์ล่าสุดจาก OEM ของอุปกรณ์เพื่อให้มีผล

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งาน Retpoline โปรดดูบล็อกโพสต์ของเรา: การลด Spectre ตัวแปรที่ 2 ด้วย Retpoline บน Windows 

สําหรับรายละเอียดเกี่ยวกับช่องโหว่นี้ ดูคู่มือความปลอดภัยของ Microsoft: CVE-2019-1125 | ช่องโหว่การเปิดเผยข้อมูลเคอร์เนลของ Windows

เราไม่ทราบถึงอินสแตนซ์ของช่องโหว่การเปิดเผยข้อมูลนี้ที่ส่งผลกระทบต่อโครงสร้างพื้นฐานบริการระบบคลาวด์ของเรา

ทันทีที่เราตระหนักถึงปัญหานี้ เราทํางานอย่างรวดเร็วเพื่อแก้ไขปัญหาและเผยแพร่การอัปเดต เราเชื่อเป็นอย่างยิ่งในการเป็นหุ้นส่วนที่ใกล้ชิดกับทั้งนักวิจัยและคู่ค้าในอุตสาหกรรมเพื่อทําให้ลูกค้าปลอดภัยมากขึ้นและไม่ได้เผยแพร่รายละเอียดจนถึงวันอังคารที่ 6 สิงหาคมสอดคล้องกับแนวทางการเปิดเผยช่องโหว่ที่ประสานงาน

แหล่งอ้างอิง

เรามีข้อมูลที่ติดต่อของบริษัทอื่นเพื่อช่วยคุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลที่ติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า เราไม่รับรองความถูกต้องของข้อมูลที่ติดต่อของบริษัทภายนอกนี้

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย